SlideShare uma empresa Scribd logo

Forense Digital - Análise de Dados Eletrônicos

F
FelipeBarreto98

O documento fornece uma introdução à ciência forense digital, descrevendo suas principais etapas e técnicas. Resume as seguintes informações essenciais: 1) A ciência forense digital estuda a aquisição, preservação, recuperação e análise de dados eletrônicos para uso como evidências legais. 2) As principais etapas de uma investigação digital são a coleta, exame e análise de dados, resultando em um laudo pericial. 3) Técnicas comuns incluem a cópia

Educação
1 de 39
Baixar para ler offline
Forense Digital / Computacional Digital / Computacional CIn – UFPE, 2007
Forense Computacional • Agenda – Introdução – Ciência Forense • O que é Ciência Forense, O que NÃO É NÃO É Ciência Forense – Forense Digital / Computacional – Forense Digital / Computacional – Etapas de Investigação • Coleta, Exame, Analise e Resultados – Técnicas Forenses • Ferramentas Forenses (etapas da investigação) • Técnicas Anti-Forense – Conclusão
Introdução “A Forense Computacional pode ser definida como a ciência que estuda a aquisição, aquisição, preservação, recuperação e análise de dados preservação, recuperação e análise de dados que estão em formato eletrônico formato eletrônico e que estão em formato eletrônico formato eletrônico e armazenados em algum tipo de mídia mídia computacional computacional.”
Ciência Forense • Diz-se da aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. • Ou simplesmente: A aplicação da Ciência no • Ou simplesmente: A aplicação da Ciência no Direito The Forensic Science Society (http://www.forensic-science-society.org.uk)
Ciência Forense • Archimedes (287-212 a.C.) – Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. • Impressões digitais – Utilizadas no século VII como comprovação de débito – Utilizadas no século VII como comprovação de débito (a impressão digital do devedor era anexada à conta). • Medicina e Entomologia – Referidas no livro “Collected Cases of Injustice Rectified”, de Xi Yuan Ji Lu, em 1247. • Foice e moscas, afogamento (pulmão e cartilagens do pescoço), entre outros.
Ciência Forense • Século XX – A evolução da Ciência Forense – Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; – Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na aplicação de métodos e técnicas utilizadas na investigação de crimes; – Criado o “The The Federal Bureau Federal Bureau of of Investigation Investigation (FBI)”, uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas.
Ciência Forense • Atualmente, existem peritos especializados em diversas áreas científicas, entre elas: – Análise de documentos (documentoscopia); – Criminalística (Balística, Impressões digitais, substâncias controladas); controladas); – Antropologia (identificação de restos mortais, esqueletos) – Arqueologia; – Entomologia (insetos, verificação de data, hora e local); – Odontologia; – Computação (Forense Computacional ou Forense Digital); – E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
O que Ciência Forense Não é! Não é!
Forense Digital/Computacional • Objetivo: – Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. – Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. – Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. “Forense Computacional: Aspectos Legais e Padronização” (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
Forense Digital/Computacional • É utilizada com fins: – Legais • ex.: investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. – Ações disciplinares internas • ex.: uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção externa
Forense Digital/Computacional • Ocorrências mais comuns: – Calúnia, difamação e injúria via e-mail ou web – Roubo de informações confidenciais – Remoção de arquivos – Remoção de arquivos • Outros crimes: – Pedofilia – Fraudes – Auxílio ao tráfico de drogas e intorpecentes
Etapas da investigação • Fases de um processo de investigação Coleta Exame Análise Resultados obtidos • Isolar a área • Coletar evidências • Garantir Integridade • Identificar Equipamentos • Embalar evidências • Etiquetar evidências • Cadeia de Custódia • Identificar • Extrair • Filtrar • Documentar • Identificar (pessoas, locais e eventos) • Correlacionar (pessoas, locais e eventos) • Reconstruir a cena • Documentar • Redigir laudo • Anexar evidências e demais documentos • Comprovar integridade da cadeia de custódia (formulários e registros) Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
Coleta de Dados • Identificação de possíveis fontes de dados: – Computadores pessoais, laptops; – Dispositivos de armazenamento em rede; – CDs, DVDs; – Portas de comunicação: USB, Firewire, Flash http://www.krollontrack.com.br – Portas de comunicação: USB, Firewire, Flash card e PCMCIA; – Máquina fotográfica, relógio com comunicação via USB, etc.
Coleta de Dados • • Cópia dos dados Cópia dos dados: : envolve a utilização de ferramentas adequadas para a duplicação dos dados • • Garantir e preservar a integridade Garantir e preservar a integridade – Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça – A garantia da integridade das evidências consiste na – A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash • Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um documento (cadeia cadeia de custódia de custódia) – ex. Formulário de Cadeia de Custódia
Coleta de Dados • Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. • Para a aquisição dos dados, é utilizado um processo composto por três etapas: processo composto por três etapas: – Identificação de prioridade; – Cópia dos dados; – Garantia e preservação de integridade.
Coleta de Dados: Identificação de Prioridade Identificação de Prioridade • Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade prioridade) na qual os dados devem ser coletados – – Volatilidade: Volatilidade: dados voláteis dados voláteis devem ser imediatamente imediatamente coletados coletados pelo perito. • Ex.: o estado das conexões de rede e o conteúdo da memória • Ex.: o estado das conexões de rede e o conteúdo da memória – – Esforço: Esforço: envolve não somente o tempo gasto tempo gasto pelo perito, mas também o custo custo dos equipamentos e serviços de de terceiros terceiros, caso sejam necessários. • Ex.: dados de um roteador da rede local x dados de um provedor de Internet – – Valor estimado: Valor estimado: o perito deve estimar um valor relativo estimar um valor relativo para cada provável fonte de dados, para definir a definir a seqüência seqüência na qual as fontes de dados serão investigadas
Coleta de Dados: Cópia dos dados Cópia dos dados • • Cópia lógica (Backup): Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados. – arquivos excluídos; – fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. utilizados, mas alocados por arquivos. • • Imagem: Imagem: imagem do disco ou cópia bit bit- -a a- -bit bit inclui os espaços livres e os espaços não utilizados: – mais espaço de armazenamento, consomem muito mais tempo; – permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. • • Exemplo: Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada
Coleta de Dados: Garantia e preservação de integridade Garantia e preservação de integridade • Durante a aquisição dos dados é muito importante muito importante manter a integridade dos atributos de tempo mtime mtime atributos de tempo mtime mtime (modification time), atime atime (access time) e ctime ctime (creation time) – MAC MAC Times Times.
Exame dos Dados • • Finalidade Finalidade: localizar, filtrar e extrair somente as informações relevantes à investigação. – Devemos considerar: • Capacidade de armazenamento dos dispositivos atuais • Quantidade de diferentes formatos de arquivos existentes – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados • Muitos formatos de arquivos possibilitam o uso de esteganografia esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados – Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. • • Ex.: Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
Exame dos Dados • Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: – arquivos que haviam sido removidos e foram recuperados; recuperados; – arquivos ocultos; – fragmentos de arquivos encontrados nas áreas não alocadas; – fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo.
Análise dos Dados • Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. • • Finalidade: Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter- relacionados. relacionados. • Normalmente é necessário correlacionar informações de várias fontes de dados – – Exemplo de correlação: Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor • É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso • Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção
Resultados • A interpretação e apresentação dos resultados obtidos é a etapa conclusiva da investigação conclusiva da investigação. • O perito elabora um laudo pericial laudo pericial que deve ser escrito de forma clara e concisa forma clara e concisa, listando todas escrito de forma clara e concisa forma clara e concisa, listando todas as evidências localizadas e analisadas. • O laudo pericial deve apresentar uma conclusão uma conclusão imparcial e final imparcial e final a respeito da investigação.
Resultados • Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: – Finalidade da investigação – Autor do laudo – Autor do laudo – Resumo do incidente – Relação de evidências analisadas e seus detalhes – Conclusão – Anexos – Glossário (ou rodapés)
Resultados • Também devem constar no laudo pericial: – Metodologia – Técnicas – Softwares e equipamentos empregados – Softwares e equipamentos empregados • Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário.
Técnicas Forenses • Boas práticas que antecedem a coleta dos dados: – – Limpar todas as mídias Limpar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação; – Certificar-se de que todas as ferramentas ferramentas (softwares) que serão utilizadas estão devidamente devidamente licenciadas licenciadas e prontas para utilização; – Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão à disposição – Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências proteger e coletar todos os tipos de evidências – Os investigadores devem filmar ou fotografar filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. – – Manter a cadeia de custódia !!! Manter a cadeia de custódia !!!
Ferramentas Forenses • Algumas ferramentas forenses comumente utilizadas nas etapas: – Coleta dos dados • Avaliar: Live Forensics ou Post-Mortem • Avaliar: Live Forensics ou Post-Mortem – Exame dos dados – Análise dos dados
Técnicas Forenses Coleta de dados voláteis Coleta de dados voláteis • Sempre que possível e relevante a investigação: – – Conexões de rede ( Conexões de rede (netstat netstat) )
Técnicas Forenses Coleta de dados voláteis Coleta de dados voláteis • • Sessões de Sessões de Login Login ( (EventViewer EventViewer / / who who – –u) u) – dos usuários; – das ações realizadas; • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Processos em execução ( Processos em execução (ProcessXP ProcessXP / / ps ps) ) • • Arquivos abertos Arquivos abertos • • Configuração de rede Configuração de rede • • Data e hora do sistema operacional Data e hora do sistema operacional
Ferramentas Forenses Coleta de dados não voláteis Coleta de dados não voláteis • • dd dd (Disk Definition) • • dcfldd dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd dd, com mais funcionalidades: – geração do hash dos dados durante a cópia dos mesmos – visualização do processo de geração da imagem – visualização do processo de geração da imagem – divisão de uma imagem em partes • • Automated Automated Image Image & & Restore Restore (AIR): interface gráfica para os comandos dd dd/ /dcfldd dcfldd – gera e compara automaticamente hashes MD5 ou SHA – produz um relatório contendo todos os comandos utilizados durante a sua execução – elimina o risco da utilização de parâmetros errados por usuários menos capacitados
Ferramentas Forenses Coleta de dados não voláteis Coleta de dados não voláteis
Ferramentas Forenses Exame dos dados Exame dos dados • Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente – Ex.: projeto National National Software Software Reference Reference Library Library (NSRL) • http://www.nsrl.nist.gov/Downloads.htm#isos • Total de 43.103.492 arquivos, distribuídos em 4 “discos”
• Diversas ferramentas já permitem a utilização dos bancos de dados citados, por exemplo: • EnCase • Autopsy & SleuthKit • PyFLAG Ferramentas Forenses Exame dos dados Exame dos dados • PyFLAG
Ferramentas Forenses Exame dos dados Exame dos dados • EnCase – Padronização de laudo; – Recuperação de dados, banco de dados de evidências; – Análise de hardwares e logs.
Ferramentas Forenses Análise dos dados Análise dos dados • Utilitários para construção da linha de tempo linha de tempo dos eventos – Mactime (Componente do SleuthKit) • Utilitários de navegação em arquivos da • Utilitários de navegação em arquivos da estrutura do Sistema Operacional Windows – Pasco - http://www.opensourceforensics.org • Analisa os índices dos arquivos do Internet Explorer – Galleta (Cookie em espanhol) – FoundStone.com • analisa os cookiesexistentes em uma máquina e separa as informações úteis
Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Objetivo: Objetivo: destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores – Também podem ser utilizadas antes de venda ou doação de mídias a outras pessoas (evita recuperação de dados) • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos dificultar a recuperação dos dados, são utilizadas ferramentas conhecidas como wiping wiping tools tools para a remoção dos dados – Wipe – Secure-delete – PGP/GPG wipe – The Defiler's Toolkit – Darik's Boot and Nuke
Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Ocultar Dados Ocultar Dados – Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difícil de ser superada. ser superada. • Utilizar ferramentas de esteganoanálise esteganoanálise em uma mídia de 80GB requer muito tempo e na prática nem sempre é algo viável de se realizar • O mesmo ocorre quando se trata de arquivos criptografados – Ex.: • TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Outras finalidades Outras finalidades – Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas têm como objetivo impedir uma das etapas da têm como objetivo impedir uma das etapas da investigação: • Metasploit Anti-Forensic Investigation Arsenal (MAFIA) • Windows Memory Forensic Toolkit
Conclusões • Forense Digital/Computacional é um dos aspectos de Segurança de Informações que chama bastante atenção tanto de corporações quanto da comunidade científica • Apesar das diversas ferramentas disponíveis que facilitam sobremaneira a ação do perito, a conclusão final ainda paira sobre a experiência, competência e integridade do profissional que conduziu a investigação
Algumas Referências • Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. • http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense _a_computacao_forense • http://www.guidancesoftware.com/pt/products/ee_index.asp

Recomendados

Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011Luiz Sales Rabelo
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Julio Cesar Roque Benatto
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”Clavis Segurança da Informação
 

Recomendados

Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
1ª aula forense computacional
1ª aula forense computacional1ª aula forense computacional
1ª aula forense computacionalJoão Freire Abramowicz
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseVaine Luiz Barreira, MBA
 
CNASI 2011
CNASI 2011CNASI 2011
CNASI 2011Luiz Sales Rabelo
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Forense em SmartPhone e uma Introdução a Computação Forense.
Forense em SmartPhone e uma Introdução a Computação Forense.Julio Cesar Roque Benatto
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”
V SEGINFO - “Recuperando Dados (Data Carving) em Mídias e em Redes”Clavis Segurança da Informação
 
Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drcdmarques25
 
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Universidade Estadual de Londrina
 
Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formaçãoMarta Antunes
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Clavis Segurança da Informação
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...BHack Conference
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Luiz Sales Rabelo
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forenseSimba Samuel
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Luiz Sales Rabelo
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacionalrenanwb
 
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdfGuiomarRibeiro3
 
Os novos desafios para a implantação de programas de gestão arquivística de d...
Os novos desafios para a implantação de programas de gestão arquivística de d...Os novos desafios para a implantação de programas de gestão arquivística de d...
Os novos desafios para a implantação de programas de gestão arquivística de d...Daniel Flores
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Adolfo Guimaraes
 
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01NeuroMat
 
Forense em Computação na Nuvem
Forense em Computação na NuvemForense em Computação na Nuvem
Forense em Computação na NuvemEuler Neto
 
Computação Forense
Computação ForenseComputação Forense
Computação ForenseClaudio Benossi
 
Visualização de dados
Visualização de dadosVisualização de dados
Visualização de dadoslrmodesto
 
Apresentação tcc arquivologia
Apresentação tcc arquivologiaApresentação tcc arquivologia
Apresentação tcc arquivologiaPedro Neto
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard workLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
[Bloco 7] Recomposição das Aprendizagens.pptx
[Bloco 7] Recomposição das Aprendizagens.pptx[Bloco 7] Recomposição das Aprendizagens.pptx
[Bloco 7] Recomposição das Aprendizagens.pptxLinoReisLino
 
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.MrPitobaldo
 

Mais conteúdo relacionado

Semelhante a Forense Digital - Análise de Dados Eletrônicos

Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drcdmarques25
 
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Universidade Estadual de Londrina
 
Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formaçãoMarta Antunes
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Clavis Segurança da Informação
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...BHack Conference
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forenseSimba Samuel
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacionalrenanwb
 
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdfGuiomarRibeiro3
 
Os novos desafios para a implantação de programas de gestão arquivística de d...
Os novos desafios para a implantação de programas de gestão arquivística de d...Os novos desafios para a implantação de programas de gestão arquivística de d...
Os novos desafios para a implantação de programas de gestão arquivística de d...Daniel Flores
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Adolfo Guimaraes
 
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01NeuroMat
 
Forense em Computação na Nuvem
Forense em Computação na NuvemForense em Computação na Nuvem
Forense em Computação na NuvemEuler Neto
 
Visualização de dados
Visualização de dadosVisualização de dados
Visualização de dadoslrmodesto
 
Apresentação tcc arquivologia
Apresentação tcc arquivologiaApresentação tcc arquivologia
Apresentação tcc arquivologiaPedro Neto
 

Semelhante a Forense Digital - Análise de Dados Eletrônicos (20)

Apresentação ab drc
Apresentação ab drcApresentação ab drc
Apresentação ab drc
 
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
Aula de Conceitos, bases e normas para a gestão arquivística de documentos di...
 
Arquivos digitais formação
Arquivos digitais formaçãoArquivos digitais formação
Arquivos digitais formação
 
Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010Análise Forense Computacional com Software Livre - Free Software Rio 2010
Análise Forense Computacional com Software Livre - Free Software Rio 2010
 
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
Palestra Tony Rodrigues - OctaneLabs WarpSpeed Project – Computação Forense e...
 
Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012Palestra MPDF BSB Mar/2012
Palestra MPDF BSB Mar/2012
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
012 computacao forense
012 computacao forense012 computacao forense
012 computacao forense
 
Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012Palestra CGU - BSB Jan/2012
Palestra CGU - BSB Jan/2012
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1
 
Forense Computacional
Forense ComputacionalForense Computacional
Forense Computacional
 
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
345019962-Tecnicas-Antiforenses-Em-Desktops.pdf
 
Os novos desafios para a implantação de programas de gestão arquivística de d...
Os novos desafios para a implantação de programas de gestão arquivística de d...Os novos desafios para a implantação de programas de gestão arquivística de d...
Os novos desafios para a implantação de programas de gestão arquivística de d...
 
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
Minicurso: O que o twitter está pensando? Extraindo informações do twitter ut...
 
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
Introdução ao Armazenamento de Dados de Experimentos em Neurociência - Parte 01
 
Forense em Computação na Nuvem
Forense em Computação na NuvemForense em Computação na Nuvem
Forense em Computação na Nuvem
 
Computação Forense
Computação ForenseComputação Forense
Computação Forense
 
Visualização de dados
Visualização de dadosVisualização de dados
Visualização de dados
 
Apresentação tcc arquivologia
Apresentação tcc arquivologiaApresentação tcc arquivologia
Apresentação tcc arquivologia
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard work
 

Último

[Bloco 7] Recomposição das Aprendizagens.pptx
[Bloco 7] Recomposição das Aprendizagens.pptx[Bloco 7] Recomposição das Aprendizagens.pptx
[Bloco 7] Recomposição das Aprendizagens.pptxLinoReisLino
 
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.MrPitobaldo
 
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniModelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniCassio Meira Jr.
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesMary Alvarenga
 
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -Aline Santana
 
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMCOMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMVanessaCavalcante37
 
Pedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxPedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxleandropereira983288
 
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicasCenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicasRosalina Simão Nunes
 
trabalho wanda rocha ditadura
trabalho wanda rocha ditaduratrabalho wanda rocha ditadura
trabalho wanda rocha ditaduraAdryan Luiz
 
Bullying - Texto e cruzadinha
Bullying - Texto e cruzadinhaBullying - Texto e cruzadinha
Bullying - Texto e cruzadinhaMary Alvarenga
 
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...licinioBorges
 
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxAD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxkarinedarozabatista
 
Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029Centro Jacques Delors
 
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptxthaisamaral9365923
 
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdfCD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdfManuais Formação
 
Programa de Intervenção com Habilidades Motoras
Programa de Intervenção com Habilidades MotorasPrograma de Intervenção com Habilidades Motoras
Programa de Intervenção com Habilidades MotorasCassio Meira Jr.
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOcarolinacespedes23
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBAline Santana
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 

Último (20)

[Bloco 7] Recomposição das Aprendizagens.pptx
[Bloco 7] Recomposição das Aprendizagens.pptx[Bloco 7] Recomposição das Aprendizagens.pptx
[Bloco 7] Recomposição das Aprendizagens.pptx
 
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
1.ª Fase do Modernismo Brasileira - Contexto histórico, autores e obras.
 
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniModelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das Mães
 
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
DESAFIO LITERÁRIO - 2024 - EASB/ÁRVORE -
 
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMCOMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
 
Pedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptxPedologia- Geografia - Geologia - aula_01.pptx
Pedologia- Geografia - Geologia - aula_01.pptx
 
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicasCenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
 
trabalho wanda rocha ditadura
trabalho wanda rocha ditaduratrabalho wanda rocha ditadura
trabalho wanda rocha ditadura
 
Bullying - Texto e cruzadinha
Bullying - Texto e cruzadinhaBullying - Texto e cruzadinha
Bullying - Texto e cruzadinha
 
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
11oC_-_Mural_de_Portugues_4m35.pptxTrabalho do Ensino Profissional turma do 1...
 
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxAD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
 
Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029Apresentação | Eleições Europeias 2024-2029
Apresentação | Eleições Europeias 2024-2029
 
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
 
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdfCD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
CD_B3_C_ Criar e editar conteúdos digitais em diferentes formatos_índice.pdf
 
Programa de Intervenção com Habilidades Motoras
Programa de Intervenção com Habilidades MotorasPrograma de Intervenção com Habilidades Motoras
Programa de Intervenção com Habilidades Motoras
 
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADOactivIDADES CUENTO lobo esta CUENTO CUARTO GRADO
activIDADES CUENTO lobo esta CUENTO CUARTO GRADO
 
XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -
XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -
XI OLIMPÍADAS DA LÍNGUA PORTUGUESA -
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 

Forense Digital - Análise de Dados Eletrônicos

  • 1. Forense Digital / Computacional Digital / Computacional CIn – UFPE, 2007
  • 2. Forense Computacional • Agenda – Introdução – Ciência Forense • O que é Ciência Forense, O que NÃO É NÃO É Ciência Forense – Forense Digital / Computacional – Forense Digital / Computacional – Etapas de Investigação • Coleta, Exame, Analise e Resultados – Técnicas Forenses • Ferramentas Forenses (etapas da investigação) • Técnicas Anti-Forense – Conclusão
  • 3. Introdução “A Forense Computacional pode ser definida como a ciência que estuda a aquisição, aquisição, preservação, recuperação e análise de dados preservação, recuperação e análise de dados que estão em formato eletrônico formato eletrônico e que estão em formato eletrônico formato eletrônico e armazenados em algum tipo de mídia mídia computacional computacional.”
  • 4. Ciência Forense • Diz-se da aplicação de campo científico específico à investigação de fatos relacionados a crimes e/ou contendas judiciais. • Ou simplesmente: A aplicação da Ciência no • Ou simplesmente: A aplicação da Ciência no Direito The Forensic Science Society (http://www.forensic-science-society.org.uk)
  • 5. Ciência Forense • Archimedes (287-212 a.C.) – Quantidade real de ouro da Coroa calculada pela teoria do peso específico dos corpos. • Impressões digitais – Utilizadas no século VII como comprovação de débito – Utilizadas no século VII como comprovação de débito (a impressão digital do devedor era anexada à conta). • Medicina e Entomologia – Referidas no livro “Collected Cases of Injustice Rectified”, de Xi Yuan Ji Lu, em 1247. • Foice e moscas, afogamento (pulmão e cartilagens do pescoço), entre outros.
  • 6. Ciência Forense • Século XX – A evolução da Ciência Forense – Pesquisas que conduziram à identificação do tipo sanguíneo e a análise e interpretação do DNA; – Publicação dos principais estudos referentes à aplicação de métodos e técnicas utilizadas na aplicação de métodos e técnicas utilizadas na investigação de crimes; – Criado o “The The Federal Bureau Federal Bureau of of Investigation Investigation (FBI)”, uma referência no que tange à investigação de crimes e a utilização de técnicas forenses em diversas áreas.
  • 7. Ciência Forense • Atualmente, existem peritos especializados em diversas áreas científicas, entre elas: – Análise de documentos (documentoscopia); – Criminalística (Balística, Impressões digitais, substâncias controladas); controladas); – Antropologia (identificação de restos mortais, esqueletos) – Arqueologia; – Entomologia (insetos, verificação de data, hora e local); – Odontologia; – Computação (Forense Computacional ou Forense Digital); – E outras: Patologia, Psicologia, Toxicologia, Metrologia, ...
  • 8. O que Ciência Forense Não é! Não é!
  • 9. Forense Digital/Computacional • Objetivo: – Suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. – Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. – Através da utilização de métodos científicos e sistemáticos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. “Forense Computacional: Aspectos Legais e Padronização” (http://www.ppgia.pucpr.br/~maziero/pesquisa/ceseg/wseg01/14.pdf )
  • 10. Forense Digital/Computacional • É utilizada com fins: – Legais • ex.: investigação de casos de espionagem industrial, roubo de identidade, extorsão ou ameaças. – Ações disciplinares internas • ex.: uso indevido de recursos da instituição, ou eventos onde não se deseja chamar a atenção externa
  • 11. Forense Digital/Computacional • Ocorrências mais comuns: – Calúnia, difamação e injúria via e-mail ou web – Roubo de informações confidenciais – Remoção de arquivos – Remoção de arquivos • Outros crimes: – Pedofilia – Fraudes – Auxílio ao tráfico de drogas e intorpecentes
  • 12. Etapas da investigação • Fases de um processo de investigação Coleta Exame Análise Resultados obtidos • Isolar a área • Coletar evidências • Garantir Integridade • Identificar Equipamentos • Embalar evidências • Etiquetar evidências • Cadeia de Custódia • Identificar • Extrair • Filtrar • Documentar • Identificar (pessoas, locais e eventos) • Correlacionar (pessoas, locais e eventos) • Reconstruir a cena • Documentar • Redigir laudo • Anexar evidências e demais documentos • Comprovar integridade da cadeia de custódia (formulários e registros) Search and Seizure Manual - http://www.usdoj.gov/criminal/cybercrime/s&smanual2002.pdf
  • 13. Coleta de Dados • Identificação de possíveis fontes de dados: – Computadores pessoais, laptops; – Dispositivos de armazenamento em rede; – CDs, DVDs; – Portas de comunicação: USB, Firewire, Flash http://www.krollontrack.com.br – Portas de comunicação: USB, Firewire, Flash card e PCMCIA; – Máquina fotográfica, relógio com comunicação via USB, etc.
  • 14. Coleta de Dados • • Cópia dos dados Cópia dos dados: : envolve a utilização de ferramentas adequadas para a duplicação dos dados • • Garantir e preservar a integridade Garantir e preservar a integridade – Se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça – A garantia da integridade das evidências consiste na – A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo hash • Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um documento (cadeia cadeia de custódia de custódia) – ex. Formulário de Cadeia de Custódia
  • 15. Coleta de Dados • Após a identificação das possíveis origens dos dados, o perito necessita adquiri-los. • Para a aquisição dos dados, é utilizado um processo composto por três etapas: processo composto por três etapas: – Identificação de prioridade; – Cópia dos dados; – Garantia e preservação de integridade.
  • 16. Coleta de Dados: Identificação de Prioridade Identificação de Prioridade • Identificar a prioridade da coleta: o perito deve estabelecer a ordem (prioridade prioridade) na qual os dados devem ser coletados – – Volatilidade: Volatilidade: dados voláteis dados voláteis devem ser imediatamente imediatamente coletados coletados pelo perito. • Ex.: o estado das conexões de rede e o conteúdo da memória • Ex.: o estado das conexões de rede e o conteúdo da memória – – Esforço: Esforço: envolve não somente o tempo gasto tempo gasto pelo perito, mas também o custo custo dos equipamentos e serviços de de terceiros terceiros, caso sejam necessários. • Ex.: dados de um roteador da rede local x dados de um provedor de Internet – – Valor estimado: Valor estimado: o perito deve estimar um valor relativo estimar um valor relativo para cada provável fonte de dados, para definir a definir a seqüência seqüência na qual as fontes de dados serão investigadas
  • 17. Coleta de Dados: Cópia dos dados Cópia dos dados • • Cópia lógica (Backup): Cópia lógica (Backup): as cópias lógicas gravam o conteúdo dos diretórios e os arquivos de um volume lógico. Não capturam outros dados. – arquivos excluídos; – fragmentos de dados armazenados nos espaços não utilizados, mas alocados por arquivos. utilizados, mas alocados por arquivos. • • Imagem: Imagem: imagem do disco ou cópia bit bit- -a a- -bit bit inclui os espaços livres e os espaços não utilizados: – mais espaço de armazenamento, consomem muito mais tempo; – permitem a recuperação de arquivos excluídos e dados não alocados pelo sistema de arquivos. • • Exemplo: Exemplo: setor de 4KB, arquivo com 9KB (3 setores ocupados) Parte utilizada pelo arquivo Parte não utilizada
  • 18. Coleta de Dados: Garantia e preservação de integridade Garantia e preservação de integridade • Durante a aquisição dos dados é muito importante muito importante manter a integridade dos atributos de tempo mtime mtime atributos de tempo mtime mtime (modification time), atime atime (access time) e ctime ctime (creation time) – MAC MAC Times Times.
  • 19. Exame dos Dados • • Finalidade Finalidade: localizar, filtrar e extrair somente as informações relevantes à investigação. – Devemos considerar: • Capacidade de armazenamento dos dispositivos atuais • Quantidade de diferentes formatos de arquivos existentes – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados – – Ex.: Ex.: imagens, áudio, arquivos criptografados e compactados • Muitos formatos de arquivos possibilitam o uso de esteganografia esteganografia para ocultar dados, o que exige que o perito esteja atento e apto a identificar e recuperar esses dados – Em meio aos dados recuperados podem estar informações irrelevantes e que devem ser filtradas. • • Ex.: Ex.: o arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação
  • 20. Exame dos Dados • Após a restauração da cópia dos dados, o perito faz uma avaliação dos dados encontrados: – arquivos que haviam sido removidos e foram recuperados; recuperados; – arquivos ocultos; – fragmentos de arquivos encontrados nas áreas não alocadas; – fragmentos de arquivos encontrados em setores alocados, porém não utilizados pelo arquivo.
  • 21. Análise dos Dados • Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. • • Finalidade: Finalidade: identificar pessoas, locais e eventos; determinar como esses elementos estão inter- relacionados. relacionados. • Normalmente é necessário correlacionar informações de várias fontes de dados – – Exemplo de correlação: Exemplo de correlação: um indivíduo tenta realizar um acesso não autorizado a um determinado servidor • É possível identificar por meio da análise dos eventos registrados nos arquivos de log o endereço IP de onde foi originada a requisição de acesso • Registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção
  • 22. Resultados • A interpretação e apresentação dos resultados obtidos é a etapa conclusiva da investigação conclusiva da investigação. • O perito elabora um laudo pericial laudo pericial que deve ser escrito de forma clara e concisa forma clara e concisa, listando todas escrito de forma clara e concisa forma clara e concisa, listando todas as evidências localizadas e analisadas. • O laudo pericial deve apresentar uma conclusão uma conclusão imparcial e final imparcial e final a respeito da investigação.
  • 23. Resultados • Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: – Finalidade da investigação – Autor do laudo – Autor do laudo – Resumo do incidente – Relação de evidências analisadas e seus detalhes – Conclusão – Anexos – Glossário (ou rodapés)
  • 24. Resultados • Também devem constar no laudo pericial: – Metodologia – Técnicas – Softwares e equipamentos empregados – Softwares e equipamentos empregados • Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário.
  • 25. Técnicas Forenses • Boas práticas que antecedem a coleta dos dados: – – Limpar todas as mídias Limpar todas as mídias que serão utilizadas ou usar mídias novas a cada investigação; – Certificar-se de que todas as ferramentas ferramentas (softwares) que serão utilizadas estão devidamente devidamente licenciadas licenciadas e prontas para utilização; – Verificar se todos os equipamentos e materiais necessários (por exemplo, a estação forense, as mídias para coleta dos dados, etc.) exemplo, a estação forense, as mídias para coleta dos dados, etc.) estão à disposição – Quando chegar ao local da investigação, o perito deve providenciar para que nada seja tocado sem o seu consentimento, com o objetivo de proteger e coletar todos os tipos de evidências proteger e coletar todos os tipos de evidências – Os investigadores devem filmar ou fotografar filmar ou fotografar o ambiente e registrar detalhes sobre os equipamentos como: marca, modelo, números de série, componentes internos, periféricos, etc. – – Manter a cadeia de custódia !!! Manter a cadeia de custódia !!!
  • 26. Ferramentas Forenses • Algumas ferramentas forenses comumente utilizadas nas etapas: – Coleta dos dados • Avaliar: Live Forensics ou Post-Mortem • Avaliar: Live Forensics ou Post-Mortem – Exame dos dados – Análise dos dados
  • 27. Técnicas Forenses Coleta de dados voláteis Coleta de dados voláteis • Sempre que possível e relevante a investigação: – – Conexões de rede ( Conexões de rede (netstat netstat) )
  • 28. Técnicas Forenses Coleta de dados voláteis Coleta de dados voláteis • • Sessões de Sessões de Login Login ( (EventViewer EventViewer / / who who – –u) u) – dos usuários; – das ações realizadas; • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Conteúdo da memória ( Conteúdo da memória (WinHEX WinHEX / / dump dump) ) • • Processos em execução ( Processos em execução (ProcessXP ProcessXP / / ps ps) ) • • Arquivos abertos Arquivos abertos • • Configuração de rede Configuração de rede • • Data e hora do sistema operacional Data e hora do sistema operacional
  • 29. Ferramentas Forenses Coleta de dados não voláteis Coleta de dados não voláteis • • dd dd (Disk Definition) • • dcfldd dcfldd (Department of Defense Computer Forensics Lab Disk Definition) - Versão aprimorada do dd dd, com mais funcionalidades: – geração do hash dos dados durante a cópia dos mesmos – visualização do processo de geração da imagem – visualização do processo de geração da imagem – divisão de uma imagem em partes • • Automated Automated Image Image & & Restore Restore (AIR): interface gráfica para os comandos dd dd/ /dcfldd dcfldd – gera e compara automaticamente hashes MD5 ou SHA – produz um relatório contendo todos os comandos utilizados durante a sua execução – elimina o risco da utilização de parâmetros errados por usuários menos capacitados
  • 30. Ferramentas Forenses Coleta de dados não voláteis Coleta de dados não voláteis
  • 31. Ferramentas Forenses Exame dos dados Exame dos dados • Utilizando assinaturas de arquivos comuns, a quantidade de arquivos a ser analisada pode ser reduzida significativamente – Ex.: projeto National National Software Software Reference Reference Library Library (NSRL) • http://www.nsrl.nist.gov/Downloads.htm#isos • Total de 43.103.492 arquivos, distribuídos em 4 “discos”
  • 32. • Diversas ferramentas já permitem a utilização dos bancos de dados citados, por exemplo: • EnCase • Autopsy & SleuthKit • PyFLAG Ferramentas Forenses Exame dos dados Exame dos dados • PyFLAG
  • 33. Ferramentas Forenses Exame dos dados Exame dos dados • EnCase – Padronização de laudo; – Recuperação de dados, banco de dados de evidências; – Análise de hardwares e logs.
  • 34. Ferramentas Forenses Análise dos dados Análise dos dados • Utilitários para construção da linha de tempo linha de tempo dos eventos – Mactime (Componente do SleuthKit) • Utilitários de navegação em arquivos da • Utilitários de navegação em arquivos da estrutura do Sistema Operacional Windows – Pasco - http://www.opensourceforensics.org • Analisa os índices dos arquivos do Internet Explorer – Galleta (Cookie em espanhol) – FoundStone.com • analisa os cookiesexistentes em uma máquina e separa as informações úteis
  • 35. Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Objetivo: Objetivo: destruir, ocultar ou modificar as evidências existentes em um sistema a fim de dificultar o trabalho realizado pelos investigadores – Também podem ser utilizadas antes de venda ou doação de mídias a outras pessoas (evita recuperação de dados) • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos • • Destruição dos Dados Destruição dos Dados: para impedir ou pelo menos dificultar a recuperação dos dados, são utilizadas ferramentas conhecidas como wiping wiping tools tools para a remoção dos dados – Wipe – Secure-delete – PGP/GPG wipe – The Defiler's Toolkit – Darik's Boot and Nuke
  • 36. Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Ocultar Dados Ocultar Dados – Criptografia e esteganografia podem ser aplicados em arquivos, tornando-se uma barreira difícil de ser superada. ser superada. • Utilizar ferramentas de esteganoanálise esteganoanálise em uma mídia de 80GB requer muito tempo e na prática nem sempre é algo viável de se realizar • O mesmo ocorre quando se trata de arquivos criptografados – Ex.: • TrueCrypt, PGP/GPG, Steganos , Hide and Seek, ...
  • 37. Ferramentas Anti-forense Destruir/Ocultar dados Destruir/Ocultar dados • • Outras finalidades Outras finalidades – Principalmente focado em dificultar ou impedir o trabalho do perito forense, algumas ferramentas têm como objetivo impedir uma das etapas da têm como objetivo impedir uma das etapas da investigação: • Metasploit Anti-Forensic Investigation Arsenal (MAFIA) • Windows Memory Forensic Toolkit
  • 38. Conclusões • Forense Digital/Computacional é um dos aspectos de Segurança de Informações que chama bastante atenção tanto de corporações quanto da comunidade científica • Apesar das diversas ferramentas disponíveis que facilitam sobremaneira a ação do perito, a conclusão final ainda paira sobre a experiência, competência e integridade do profissional que conduziu a investigação
  • 39. Algumas Referências • Neukamp, Paulo A. Forense Computacional: Fundamentos e Desafios Atuais. 11 Junho de 2007. Universidade do Vale do Rio dos Sinos (UNISINOS). 06 Nov. 2007. • http://www.imasters.com.br/artigo/4175/forense/introducao _a_computacao_forense _a_computacao_forense • http://www.guidancesoftware.com/pt/products/ee_index.asp